Trung bình một ngày, khách sạn phải xử lý hàng vạn dữ liệu khác nhau, không ít trong số đó là thông tin cá nhân của khách hàng như thông tin đặt phòng, số liệu chuyến bay và cả thông tin thanh toán qua thẻ. Chính vì sở hữu những thông tin này khiến khách sạn trở thành mục tiêu săn đón của hacker. Đối với những tập đoàn khách sạn quốc tế có sẵn nhà hàng và cửa hàng bán lẻ, việc bảo mật thông tin sẽ càng khó khăn hơn.
Đọc thêm: Vì sao vị trí Giám đốc Dữ liệu (CDO) ngày càng phổ biến?
Cơ chế 3 bên trong quản lý doanh nghiệp khách sạn
Khách sạn đặc biệt là những tập đoàn nổi tiếng thường dễ bị tấn công qua mạng do cơ chế ba bên phức tạp xoay quanh mối quan hệ giữa bên nhượng quyền kinh doanh (franchisor), chủ khách sạn và người vận hành khách sạn.
- Người nhượng quyền: sở hữu thương hiệu đồng thời cũng là người quyết định hệ thống quản lý đặt phòng nào sẽ được cài đặt tại từng khách sạn trong nhóm. Bên nhượng quyền sở hữu mọi thông tin thu thập được hoặc được nhập vào hệ thống.
- Chủ khách sạn: thường là một nhóm nhiều nhà đầu tư hoặc cá nhân. Họ có tác động nhất định đến vấn đề vận hành. Người chủ được toàn quyền cài đặt một hệ thống point-of-sale bán hàng (POS) riêng biệt.
- Quản lý vận hành: có nhiệm vụ thu thập, nhập liệu, lưu trữ và duy trì thông tin của cả khách hàng và nhân viên. Quản lý vận hành cũng chịu trách nhiệm đào tạo nhân viên về bảo mật thông tin.
Quyền sở hữu dữ liệu thu thập được và hệ thống quản lý khách sạn rời rạc là những lý do gây căng thẳng cho mối quan hệ ba bên giữa những thành viên chủ chốt của khách sạn. Như đã nêu trên, bên nhượng quyền quyết định hệ thống quản lý và đặt phòng nào sẽ được cài đặt tại khách sạn nhưng chủ khách sạn cũng có thể cài đặt hệ thống thanh toán bằng thẻ cho những dịch vụ khác.
Đọc thêm: Giải pháp cải thiện khả năng cộng tác cho ngành khách sạn
Thử thách trong việc bảo mật dữ liệu
Thử thách #1: thanh toán bằng thẻ qua hệ thống máy POS
Thanh toán bằng thẻ đang ngày càng trở nên phổ biến nhờ tính tiện dụng. Khách hàng sẽ dùng thẻ của cá nhân (hoặc thẻ doanh nghiệp) để chi trả cho những dịch vụ tại khách sạn ít nhất một lần trong suốt thời gian lưu trú.
Không ít báo cáo đã chứng minh phần lớn những vụ đánh cắp thông tin diễn ra tại khách bắt nguồn từ hệ thống POS. Thông tin từ thẻ tín dụng được lưu trữ dưới dạng văn bản thuần túy trong bộ nhớ của máy POS, rất dễ bị đánh cắp thông qua công cụ quét bộ nhớ.
Những giải pháp như hệ thống đọc thẻ Europay-Mastercard-Visa (EMV) và mã hóa point-to-point (end-to-end encryption, P2PE) tuy phần nào có thể giúp giảm mức độ nghiêm trọng của các vụ tấn công nhưng vẫn chưa phải là giải pháp hoàn hảo nhất.
Hệ thống máy POS thuộc quyền sở hữu của chủ khách sạn và không thuộc quyền quản lý của franchisor. Chính vì vậy, chủ khách sạn và nhà cung cấp dịch vụ máy POS phải đảm bảo tuân thủ đủ mọi phương thức bảo mật an toàn thông tin nhằm bảo vệ tối đa danh tính của khách hàng.
Đọc thêm: Internet of Things từ góc độ các doanh nghiệp thực phẩm và đồ uống
Vấn đề bảo mật cũng gây căng thẳng cho mối quan hệ giữa chủ khách sạn và quản lý vận hành, người chịu trách nhiệm quan sát quá trình triển khai, lắp đặt hệ thống POS cũng như quản lý thông tin, dữ liệu hằng ngày. Thêm vào đó, người quản lý vận hành bắt buộc phải tuân thủ theo đúng tiêu chuẩn Bảo mật Dữ liệu Thẻ thanh toán (Payment Card Industry Security Standard, PCI-DSS).
Tuy nhiên, không phải khách sạn nào cũng trang bị đầy đủ hệ thống an ninh mới nhất để tự bảo vệ bản thân. Không ít vẫn chấp nhận thanh toán qua điện thoại hoặc qua fax, những cách thức dễ bị tấn công nhất.
Thử thách #2: lỗi của con người
Các email lừa đảo và lỗi bắt nguồn từ con người là hai trong số những nguyên nhân hàng đầu dẫn đến rò rỉ thông tin. Email lừa đảo vừa tiết kiệm, tính hiệu quả lại cao vì chúng tấn công vào sự cả tin của con người. Đây chính là một trong những thủ đoạn phổ biến nhất được dùng để qua mặt hệ thống an ninh của khách sạn.
Một vài lỗi bắt nguồn từ con người có tác động đến an ninh bao gồm:
- Nhân viên sử dụng máy tính chứa dữ liệu cá nhân tại nơi công cộng mà không chú ý quan sát
- Nhân viên được cấp quyền truy cập vượt quá giới hạn công việc hằng ngày
- Nhân viên gửi email chứa thông tin cá nhân cho nhầm người
- Quyền truy cập của nhân viên không được hủy ngay khi họ nghỉ việc
Tỉ lệ nhân viên nghỉ việc của ngành Nhà hàng - Khách sạn thuộc diện khá cao, vì vậy mà việc liên tục theo dõi lực lượng nhân viên nòng cốt hiện tại và đào tạo chuyên môn cho họ là một thử thách khó nhằn đối với quản lý vận hành. Thêm vào đó, không chỉ thông tin của khách mới là tiêu điểm hấp dẫn, dữ liệu của nhân viên bạn (số chứng minh, mã số thuế, thông tin ngân hàng…) cũng là con mồi béo bở.
Đọc thêm: ‘Transformers’ và bài học về an ninh mạng doanh nghiệp
Giải pháp giúp khách sạn tăng cường hệ thống an ninh
Những cuộc tấn công qua mạng chắc chắn sẽ tiếp diễn. Doanh nghiệp khách sạn luôn phải ở trong thế phòng bị, đặc biệt cẩn trọng trong việc bảo vệ thông tin cá nhân của khách và nhân viên cả trên mạng và tại doanh nghiệp.
Xác định rõ quyền hạn, yêu cầu quản lý dữ liệu
Bên nhượng quyền, chủ khách sạn và quản lý vận hành khi làm việc với nhau hoặc một bên thế ba khác (nhà cung cấp phần mềm, dịch vụ vận chuyển, hậu cần, nhà thầu…) cần thống nhất và yêu cầu làm rõ chi tiết các điều khoản về bảo mật thông tin.
Ví dụ, trong hợp đồng nêu rõ điều khoản về yêu cầu bồi thường trong trường hợp tấn công qua mạng xảy ra có thể giúp bảo vệ khách sạn khỏi những rắc rối về tài chính. Ngoài ra, khách sạn cũng phải đảm bảo tiêu chuẩn PCI-DSS được thực thi tại mọi bộ phận trong doanh nghiệp nhằm hạn chế tối đa các vụ tấn công.
Bảo vệ dữ liệu với công nghệ hiện đại
Khách sạn phải cẩn trọng trong việc lựa chọn nhà cung cấp hệ thống POS. Tích hợp công nghệ mới vào mã hóa dữ liệu POS và tuân thủ theo quy định PCI-DSS có thể giúp khách sạn tối ưu hóa các quy trình an ninh. Một vài công nghệ có thể giúp khách sạn tăng cường an ninh bao gồm mã hóa point-to-point, hệ thống đọc mã chip thông minh (smart chip), công nghệ số hóa thẻ tokenization.
Các nhà hành pháp cũng khuyến khích khách sạn triển khai mã hóa hoàn toàn như một biện pháp bảo vệ cơ bản nhằm ngăn ngừa các trường hợp máy móc, thiết bị lưu trữ thông tin bị mất hoặc bị đánh cắp. Ngoài việc tăng cường đào tạo cho nhân viên, khách sạn còn phải đảm bảo nhân viên luôn tuân thủ đúng theo quy định bảo vệ tài sản.
Đào tạo và nâng cao nhận thức của nhân viên
Thiết lập những buổi tập huấn mô phỏng những trường hợp tấn công trong thực tế, nâng cao kiến thức của nhân viên về những loại virus, malware nguy hiểm nhằm giúp nâng cao nhân thức của nhân viên.
Đọc thêm: Làm thế nào để bảo vệ dữ liệu của bạn khi nhân viên thôi việc
Bảo mật thông tin nên được bao gồm cả trong quá trình onboarding cho nhân viên mới, đồng thời chương trình đào tạo cũng nên được đánh giá và cập nhật thường xuyên. Những chương trình đào tạo này sẽ là cơ sở giúp doanh nghiệp đo lường độ hiệu quả của hệ thống an ninh hiện tại, nhanh chóng phát hiện những người dùng dễ gặp nguy hiểm nhất.
Doanh nghiệp cũng nên cập nhật đầy đủ dữ liệu về những loại virus, malware nguy hiểm và những hệ thống phòng chống virus hiện đại nhằm giúp khách sạn chủ động hơn trong việc phòng chống tội phạm an ninh mạng.
Khách sạn đồng thời cũng nên thường xuyên kiểm tra, hủy hoặc giới hạn quyền quyền truy cập thông tin của từng nhân viên nếu họ không có nhu cầu.
Bảo vệ thông tin cá nhân của cả khách hàng và nhân viên của bạn bằng giải pháp Quản lý Khách sạn phù hợp. Yêu cầu một buổi demo ngay hôm nay!